Archivadas las investigaciones por el robo de datos a un directivo de RTVE

Sufrió el hurto en su coche de un pen drive que contenía nombres y apellidos de empleados y los programas a los que están asignados

Sede de RTVE en Torrespaña.
Sede de RTVE en Torrespaña.

RTVE notificó a la Agencia Española de Protección de Datos una brecha de seguridad de datos personales. El origen de esa fuga fue un incidente fortuito: el robo que sufrió un directivo de la radio televisión pública nacional en su coche.

El caso se relata en una resolución de la Agencia Española de Protección de Datos, que ha consultado Confidencial Digital, y en la que se archivan las investigaciones sin imponer ninguna sanción a la corporación pública.

Robo en el coche de un directivo

Los hechos sucedieron en 2020. El responsable de tratamiento de datos personales de RTVE notificó a la División de Innovación Tecnológica de la Agencia Española de Protección de Datos que habían detectado una posible brecha de seguridad de datos personales.

La agencia ordenó a la Subdirección General de Inspección de Datos que valorara la necesidad de realizar las oportunas investigaciones previas con el fin de determinar una posible vulneración de la normativa de protección de datos.

Todo comenzó con un robo. El director del Área de Explotación y Medios Artísticos de RTVE estacionó su coche en un aparcamiento público de Madrid. Cuando volvió al coche, “el cortavientos trasero derecho estaba fracturado y se había accedido al maletero del mismo, de donde se sustrajo su mochila, la cual contenía el ordenador portátil y el dispositivo pen drive involucrados en la presente brecha de seguridad”.

Este directivo de RTVE denunció los hechos en la comisaría de la Policía Nacional en el distrito madrileño de Latina, y también comunicó los hechos a la corporación, el 21 de noviembre de 2020.

Un archivo Excel en un pen drive

Al tener constancia de este incidente, RTVE lo notificó a la Agencia Española de Protección de Datos, por si pudiera producirse una fuga de datos personales. Explicó la corporación que el ordenador portátil que le desapareció a su directivo no almacenaba datos personales, pero sí había datos de ese tipo en el dispositivo pen drive: contenía un archivo en formato Excel con información de empleados de RTVE.

En un primer momento, no tenía certeza de que se hubiera accedido a esos datos de forma ilegítima, pero por si acaso, lo notificó a la agencia.

El siguiente paso de RTVE fue comenzar una labor de “monitorización en la deep web, por parte de su unidad de ciberseguridad, de los archivos sustraídos, con la generación de informes periódicos sobre el estado de la misma, al efecto de contemplar el impacto sobre tratamientos posteriores, o reclamación por terceros”.

 

Es decir, se puso a investigar si los datos contenidos en el pen drive estaban ya circulando por la parte “profunda” de Internet, donde delincuentes venden bases de datos personales.

Error humano por no cifrar

La radio televisión pública remitió a su director del Área de Explotación y Medios Artísticos un “apercibimiento” por lo sucedido. Especialmente destacó “la necesidad de ceñirse a la normativa correspondiente para el tratamiento de datos personales (encriptado, forma de entrada y salida de datos personales...)”.

Este directivo confirmó que no disponía de dato personal alguno en su ordenador portátil sustraído, puesto que trabajada todo en las carpetas compartidas de la corporación y en su usuario en OneDrive.

La unidad de ciberseguridad de RTVE elaboró un mes después un “Informe sobre Monitorización de filtraciones tras incidente de seguridad”. En el informe se concluía que no se habían identificado, “en la sucesivas revisiones y búsquedas, que se haya producido una fuga de información” objeto de la investigación.

Las búsquedas que se hicieron en Internet y en la “Deep Web” dieron resultados negativos, “por lo que no se ha podido identificar una publicación de los contenidos buscados ni indexadas en Google ni en Pastebin”.

Ya en enero de 2021, se actualizó el informe, apuntando que “sigue sin haberse identificado fuga de información involucrada en la presente brecha de seguridad”.

RTVE sí explicó las causas que hicieron posible la brecha de seguridad: “El robo producido a un trabajador de su entidad, en el que, entre otros enseres y daños en las cosas, se sustrajo el ordenador portátil y el dispositivo pen drive con datos personales no cifrado”. Informó a Protección de Datos que “el no cifrado del pen drive con datos personales es un error humano del empleado, de carácter aislado y fortuito”.

Nombres, programas, ubicaciones...

También pudo detallar los datos afectados por la sustracción en el coche del directivo, que eran principalmente los que estaban almacenados en un Excel en el pen drive.

En ese dispositivo había datos de cierto número de empleados de Radio Televisión Española. En el archivo se citaba su nombre y apellido y su “número de matrícula de empresa”, un número que tiene cada empleado de RTVE.

Además, también se revelaba su ocupación dentro de la corporación, la unidad a la que estaban adscritos, la “asignación a programas con fechas, horarios y ubicaciones”, y las “vigencias de programas con un campo de observaciones donde aparece información sobre tasa de recursos”.

RTVE presentó ante Protección de Datos “un breve análisis del incidente de seguridad en el que se determina que los datos de los afectados son de escaso riesgo, y que no existen datos de comportamiento, datos de sistemas, financieros y/o económicos, ni datos sensibles por lo que entiende que no entraña un alto riesgo para sus derechos y libertades, por lo tanto, concluye que no resulta necesaria la comunicación a los afectados”.

Añadió que no tenía conocimiento de la utilización por terceros de los datos contenidos en el pendrive objeto de la presente brecha de seguridad, ni de la publicación de datos personales afectados por el incidente en internet, ni de la indexación por los motores de búsqueda.

Su conclusión fue que “la presente brecha de seguridad se trató de un hecho aislado y puntual, y que ha emprendido diversas acciones para que no se repitan, entre las que destaca la formación y concienciación en protección de datos personales de sus empleados”.

Formación en protección de datos

Para evitar sanciones de la Agencia Española de Protección de Datos, RTVE justificó también que había implantado medidas de seguridad antes de la brecha. Aseguró que “desde marzo de 2018 acometió un plan de adecuación a la nueva normativa de protección de datos que consistió, principalmente, en la formación y concienciación del personal en dicha materia”.

En ese sentido, impartió cinco sesiones formativas para directivos y responsables (cuatro en Madrid y una en Barcelona); creó un “Portal de Protección de Datos” ubicado en su intranet, en el que se realizan actividades de concienciación, difusión y conocimiento de los protocolos en seguridad en la información; elaboró un boletín informativo sobre protección de datos (“Recomendaciones de seguridad de equipamiento y de datos en situaciones de movilidad y teletrabajo”), y también organizó doce sesiones presenciales sobre protección de datos, y una virtual para el área de compras.

Detalló también que poseía un procedimiento de cifrado de documentos y una guía de uso seguro de los medios informáticos.

Además, declaró que disponía de la Norma 1/2020 (de febrero de 2020) sobre Protección de Datos, Garantía de los Derechos Digitales y Confidencialidad de la información (publicada en su Intranet corporativa como política de seguridad), en la que destaca el artículo 6 de obligaciones para su personal en la materia. Dicho documento incluye un anexo como procedimiento de brechas de seguridad.

Sin embargo, reconoció que no estaba adscrita a ningún código de conducta o certificación en materia de protección de datos a fecha 24/12/2020.

RTVE también justificó que para el año 2021 había planificadas diferentes acciones sobre concienciación y formación, entre las que destacaba un curso sobre conceptos básicos de Protección de Datos dirigido a todos los trabajadores y otro más avanzado para todos aquellos empleados que tratan datos personales. Y que con ocasión de la celebración del Día Europeo de la Protección de Datos, el 28 de enero, aprovecharía para realizar acciones de concienciación en la materia.

Brecha de confidencialidad

La Agencia Española de Protección de Datos analizó todas estas explicaciones, y las contrastó con lo que establece la normativa, el Reglamento General de Protección de Datos.

Este reglamento define, de un modo amplio, las “violaciones de seguridad de los datos personales” (en adelante quiebra de seguridad) como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

En el caso del robo de un pen drive a un directivo de RTVE, se constata que “se produjo una quiebra de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como brecha de confidencialidad”.

Tras estudiar el origen de la brecha, constató que “los datos de los afectados son de escaso riesgo, y que no existen datos de comportamiento, datos de sistemas, financieros y/o económicos, ni datos sensibles por lo que [RTVE] entiende que no entraña un alto riesgo para sus derechos y libertades, por lo tanto, concluye que no resulta necesaria la comunicación a los afectados”.

Además, no había noticias de que los datos estuvieran circulando por Internet, ni de que los hubiera utilizado nadie. Se añade que se habían tomado medidas preventivas, que se reforzaron con posterioridad al incidente.

Por todo ello, “con la información de la que se dispone en este momento, no se han encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la Agencia Española de Protección de Datos”.

Así que la directora de la Agencia Española de Protección de Datos acordó archivar las actuaciones de investigación sobre RTVE.

Video del día

Marta Rovira confirma que negocia con Sánchez
un referéndum de independencia para Cataluña
Portada
Comentarios
Envíanos tus noticias
Si conoces o tienes alguna pista en relación con una noticia, no dudes en hacérnosla llegar a través de cualquiera de las siguientes vías. Si así lo desea, tu identidad permanecerá en el anonimato